Durante los últimos 18 meses, los empleados de todo el mundo han estado trabajando de forma remota desde casa debido a la pandemia de Covid-19. Una consideración que ha sido motivo de preocupación para muchos equipos de seguridad es el uso de dispositivos personales. Comúnmente conocido como traiga su propio dispositivo (BYOD), es un tema que prevaleció incluso antes de Covid y fue un desafío importante para muchos equipos de seguridad a lo largo de los años.
Vuelva a pensar en marzo de 2020: los gobiernos emitían órdenes de quedarse en casa con muy poca antelación y se esperaba que muchos empleados trabajaran desde casa, algunos sin acceso a dispositivos de trabajo. Fueron tiempos sin precedentes (una frase que se usa con moderación en este artículo) y, como tal, algunos empleadores permitieron a sus empleados usar dispositivos personales para fines de trabajo hasta que se pudiera emitir el equipo autorizado. Otras organizaciones expandieron su política BYOD para permitirlo durante la pandemia, especialmente si la infraestructura y los servicios estaban en la nube y podían monitorearse fácilmente. ¿Por qué gastar dinero en dispositivos adicionales si un empleado ya puede acceder a todo?
A medida que más lugares de trabajo en varios países comiencen a abrirse nuevamente, estas decisiones ahora deben reevaluarse. Aquí en el Reino Unido, lunes 19Julio fue el día en que se levantaron todas las restricciones, incluido el trabajo desde casa.
Para muchos empleados, incluido yo mismo, un dispositivo emitido por el trabajo es la norma, solo para ser utilizado con fines laborales. Personalmente, prefiero la separación entre el trabajo y lo personal, por lo que un cuaderno de trabajo que puedo apagar al final del día y guardar es una bendición. Sin embargo, para otros, un dispositivo es más rentable y significa que pueden hacer todo en cualquier lugar. Todos los empleadores y empleados deben considerar las implicaciones de seguridad y privacidad que plantea esta opción.
Los dispositivos personales conllevan todo tipo de riesgos a considerar:
- Varias cuentas de usuario.
- Servicios y navegadores sincronizados con otros dispositivos.
- Contraseñas guardadas.
- Archivos personales, incluidas fotos.
- Software no aprobado.
- Posible fuga de datos.
- Posibles infecciones de malware.
Llevar algo como esto a la oficina sin poner los controles en su lugar es como invitar a un zorro a cenar en un gallinero: no va a tener un buen resultado. Entonces, ¿qué deben tener en cuenta los equipos de seguridad para los empleados que regresan a la oficina?
En primer lugar, debe existir un marco claro de políticas y procedimientos que los empleados deben seguir. El marco COBIT de ISACA, así como otros, como ISO 27001 y SSAE 18, tienen controles relacionados con la gestión de activos y dispositivos personales, por lo que si ya están implementados, las organizaciones ya tienen una línea de base que los empleados deben seguir.
Estas políticas y procedimientos deben detallar claramente lo que los empleados pueden y no pueden hacer con los dispositivos personales, con claras consecuencias en caso de incumplimiento. Si las organizaciones no siguen estos u otros marcos, entonces no hay razón por la que no se pueda implementar una política de dispositivos personales para garantizar que haya una guía clara en el futuro.
Las políticas pueden cubrir todo tipo de dispositivos o ser tan específicas como sea necesario. Por ejemplo, una organización podría prohibir el uso de dispositivos portátiles personales, pero permitir que los dispositivos móviles personales se utilicen solo para los requisitos de correo electrónico y calendario. Esto podría tomar la forma de una política firmada que los empleados acepten si quieren usar un teléfono móvil para todo. Cuán restrictiva quiere ser una organización se reduce a su perfil de riesgo.
Las políticas documentadas solo pueden llegar hasta cierto punto, por lo que es probable que las organizaciones también requieran controles técnicos. Hay muchos sistemas y servicios diferentes que se pueden implementar, según las restricciones requeridas y el presupuesto disponible. Todos estos controles volverán nuevamente al perfil de riesgo de la organización.
Si una organización va a permitir solo teléfonos móviles personales, entonces la administración de aplicaciones móviles (MAM) podría implementarse en esos dispositivos. Esto permitiría que el teléfono funcione normalmente para el empleado, pero restringiría los aspectos laborales a aplicaciones específicas y evitaría la fuga de datos al deshabilitar elementos que se copian o transfieren desde estas aplicaciones a aplicaciones personales.
Sin embargo, si una organización también va a permitir portátiles personales, entonces se debe considerar cómo se monitorea ese dispositivo para detectar riesgos como los enumerados anteriormente. Si la política de dispositivos personales define claramente que todos los dispositivos personales requieren la instalación de un software de punto final, el empleado puede aceptar esto como parte de los términos de la política o recibir un dispositivo de la empresa.
Este software aún podría permitir que los empleados usen su dispositivo de manera normal, pero se cubrirían ciertos riesgos, como la instalación de software, el aprovisionamiento de cuentas, las alertas de malware y la fuga de datos. Eso podría traer desafíos para el empleado en casa, pero esta es la compensación cuando se usa un dispositivo personal.
Proporcionar acceso a la red es otro asunto: las organizaciones pueden implementar controles para evitar que los dispositivos personales accedan a la red de la oficina. Esto podría variar desde la lista de permisos de direcciones de control de acceso a medios (MAC) hasta evitar que los cables LAN proporcionen acceso, un control comúnmente adoptado para evitar que los visitantes conecten dispositivos. Si se implementan estos controles, las organizaciones deben considerar cuidadosamente si deben aflojarse o quitarse para los empleados que regresan.
La formación es otro factor a tener en cuenta, tanto para los empleados como para los propios equipos de seguridad para afrontar estos nuevos riesgos. Los empleados deben comprender a través de la capacitación en concienciación sobre seguridad lo que deben y no deben hacer, y las consecuencias de sus acciones.
Del mismo modo, si una organización comienza a permitir el uso de una amplia gama de nuevos dispositivos, tanto los equipos de TI como de seguridad deben ser capaces de soportar los desafíos que traen estos dispositivos. De ISACA Estado de la ciberseguridad 2021 El informe detalla los desafíos de la falta de personal y capacitación en los equipos de seguridad, por lo que las organizaciones deben asegurarse de que sus equipos de seguridad estén preparados adecuadamente, tanto en términos de personal como de comprensión de los nuevos requisitos para los trabajadores de oficina que regresan.
Por supuesto, estos puntos no lo abarcan todo, pero les darán a los equipos de seguridad y a las organizaciones puntos de partida iniciales para considerar mientras buscan dar la bienvenida a los empleados a la oficina.
Simon Backwell, CISM, es gerente de seguridad de la información en Benefex y miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA